Iptables - Accès à apache lent après activation

theob · Le 06/06/2022, à 10:51

Bonjour à tous !
J'ai un petit problème avec iptables que je ne comprends franchement pas trop.

Lorsque j'accepte tous les ports de tout le monde j'accède à mon serveur web (port 443) très rapidement.
Quand je mets DROP par défaut en INPUT en ouvrant les ports 80 et 443 en INPUT (protocole tcp les 2) de mon serveur web, cela fonctionne toujours mais il met, sans déconner, 1 minute à charger.
(j'ai laissé OUTPUT et FORWARD avec ACCEPT par défaut)

Savez-vous pourquoi ? J'ai oublié un truc ?
Merci

Vobul · Le 06/06/2022, à 10:58

Output de "iptables -L" ? Sinon pourquoi manipuler iptables directement plutôt que d'utiliser ufw par exemple ? À voir aussi si avec ufw tu as les même résultats. Est-ce que c'est pareil avec "curl" en v4 ou v6 ? Est-ce 100% reproductible ?

theob · Le 06/06/2022, à 11:21

Merci pour votre réponse

Chain INPUT (policy DROP 674 packets, 31446 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  153 24078 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:https
   23  1283 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:http
 1530  127K ACCEPT     all  --  lo     any     anywhere             anywhere            
 3065  264K ACCEPT     all  --  any    any     XXXX  anywhere            
  352 36494 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpt:XXX
    1    60 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:XXX
   17  3249 ACCEPT     tcp  --  tun0   any     anywhere             anywhere             tcp dpt:XXX
    0     0 ACCEPT     udp  --  tun0   any     anywhere             anywhere             udp dpt:XXX

Chain FORWARD (policy ACCEPT 20 packets, 1200 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 376 packets, 42829 bytes)
 pkts bytes target     prot opt in     out     source               destination

A noter que la 4ème règle me sert uniquement pour garder le contrôle total depuis mon propre réseau sur mon serveur qui est hébergé sur le cloud (histoire d'éviter de me bloquer l'accès).

Je ne connais pas la différence entre ufw et iptables. Naïvement je penserais que les deux ont le même rôle, l'exécuteront de la même façon et me donneront le même résultat. Je vais essayer ufw pour voir si j'ai le même problème.

Vobul · Le 06/06/2022, à 12:58

En fait de nos jours pour ce qu'on appelle le "cloud", les firewalls au niveau des systèmes ne sont plus utilisés. On définit des "security group" qui contiennent des règles genre "laisser passer sur port 80/tcp de partout, et sur port 22/tcp depuis chez moi".

Ça permet plusieurs choses, comme avoir ces règles dans tes fichiers terraform et donc elles deviennent auditables, ajouter une vm dans ce groupe directement et t'es sûr que le firewall est direct bien configuré, éditer une règle d'un group revient à éditer le firewall de toutes les vm qui sont dans ce groupe, et surtout t'es sûr de ne pas te tromper en éditant à la mano iptables comme tu le fais, car c'est une grosse source de soucis/erreurs.

De plus, tu te reposes sur le firewall du cloud provider, ce qui signifie que ta vm n'a même pas à processer la requête (c'est un niveau au-dessus), donc niveau consommation resources c'est encore mieux ! Puis bon après si tu fais des trucs un peu plus complexes avec des subnets, des load balancers et tout, c'est tellement plus simple de le faire avec les bons outils modernes. Donc autant prendre les bonnes habitudes tout de suite, même si t'as qu'un serveur. C'est plus simple, plus efficace, y'a pas de downside en fait.

Je ne connais pas la différence entre ufw et iptables

ufw c'est pour "uncomplicated firewall" ça permet aux débutants de s'en sortir avec la configuration d'un firewall sans trop de soucis, avec des commandes simples. Mais sous le capot c'est iptables, comme toujours.

theob · Le 07/06/2022, à 08:21

Merci pour ces conseils, je ne connaissais pas. Après au delà de n'avoir qu'un serveur, il est même carrément hébergé dans mon entreprise donc on n'a plus de cloud provider. C'est vrai que j'ai parlé de cloud car je fais mes essais dessus mais à terme ce ne sera pas lui, my bad. Mais je vais me renseigner sur les security group.

J'ai essayé hier avec ufw et je n'ai pas le problème que j'avais cité. Du coup je comprends bien la différence de niveau entre les deux, mais je n'arrive toujours pas à comprendre pourquoi avec les règles pourtant simples (je pense) que j'avais écrites sur iptables je rencontrais ce problème (d'ailleurs j'avais vérifié avec top et le problème n'est pas de l'utilisation des ressources).

Bonne journée

Vobul · Le 07/06/2022, à 11:18

theob a écrit :

J'ai essayé hier avec ufw et je n'ai pas le problème que j'avais cité.

Eh oui, c'est bien pour ça que ufw a été inventé. Parce que iptables c'est un peu trop "low-level" (je veux dire proche du network stack, pas «facile»). Si t'arrives à comprendre c'était quoi ton soucis avec iptables tant mieux, mais sinon tu peux aussi te dire que désormais tu feras tout pour ne pas avoir à le manipuler directement car tu sais à quel point c'est relou

Et pour le serveur dans ton entreprise là ça va dépendre grandement de l'infrastructure existante. Tu peux avoir un truc presque comme AWS ou un truc comme la cave à momo ^^

iznobe · Le 07/06/2022, à 15:55

Bonjour ,
Avec iptables , l ' ordre des regles a une importance .
la 1ere recontrée dans la liste prend le dessus sur tout le reste de la liste , si aucune ne peut etre validée , alors c ' est la police par defaut definie qui entre en jeu .

A mon avis il doit manquer des regles , mais on ne connait pas suffisament l' infrastructure de ton reseau et les ports obligatoire pour que cela fonctionne .
Si par exemple ton serveur web doit acceder a un autre serveur de BDD dans ton reseau local , il faut aussi l ' autoriser .

De plus il manque des regles , en entrée ( par defaut sur DROP ) , il faut toujours autoriser les connexions deja etablies etc ..
En gros , il faut passer par un tuto , et c ' est vrai que c ' est low level , pas facile a prendre en main , mais terriblement efficace .

Bref , si ca t ' interresse de savoir ou creuser la question , un debut avec la doc : https://doc.ubuntu-fr.org/iptables

Dernière modification par iznobe (Le 07/06/2022, à 16:18)

Vobul · Le 07/06/2022, à 19:43

iznobe, pourquoi tu mets des espaces avant et après les signes de ponctuation ? C'est très étrange à lire.

iznobe · Le 07/06/2022, à 20:01

ba tu as bien mis des espaces avant et apres ton " ? " , pourquoi pas faire pareil avec les autres signes de ponctuation ?
En vrai , je ne sais pas , j' ai toujours fait comme ca .

Dernière modification par iznobe (Le 07/06/2022, à 20:02)

Vobul · Le 07/06/2022, à 20:30

iznobe a écrit :

ba tu as bien mis des espaces avant et apres ton " ? " , pourquoi pas faire pareil avec les autres signes de ponctuation :P ?

Parce que je suis les règles de typographie française, tout simplement.

Une règle simple : si le signe est en deux partie (? : ! ;) tu mets un espace avant et après, si c'est en une partie (, .) c'est un espace après mais pas avant. Attention, en anglais c'est différent, pas d'espace avant !

Je pense que d'autres sur ce forum seront du même avis que moi : la typographie c'est important. Tu peux écrire dans un français parfait sans aucune faute d'orthographe, mais si tu suis les règles typographiques d'iznobe c'est comme si tu écrivais en langage SMS pour moi. C'est incorrect, un point c'est tout ! ;) C'est comme les accents, c'est pas une option hein !

Dernière modification par Vobul (Le 07/06/2022, à 20:31)

cqfd93 · Le 08/06/2022, à 04:53

Bonjour,

Vobul a écrit :

Une règle simple : si le signe est en deux partie (? : ! tu mets un espace avant et après, si c'est en une partie (, .) c'est un espace après mais pas avant. Attention, en anglais c'est différent, pas d'espace avant !

Tout-à-fait exact et c'est pareil pour les guillemets français « et ».

iznobe · Le 08/06/2022, à 10:54

Bonjour , tout a fait d ' accord , avec les regles , sauf que je ne sais pas ecrire de la sorte , et c ' est certainement pas a mon age que je vais changer ma façon d ' ecrire malheureusement .

Si un espace superflu vous gene , il ne vous faut pas grand chose ; et pour les accents , je n ' ai jamais su les mettre depuis l ' ecole primaire , qui remonte a loin maintenant ...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/06/2022, à 10:51

Iptables - Accès à apache lent après activation

#2 Le 06/06/2022, à 10:58

Re : Iptables - Accès à apache lent après activation

#3 Le 06/06/2022, à 11:21

Re : Iptables - Accès à apache lent après activation

#4 Le 06/06/2022, à 12:58

Re : Iptables - Accès à apache lent après activation

#5 Le 07/06/2022, à 08:21

Re : Iptables - Accès à apache lent après activation

#6 Le 07/06/2022, à 11:18

Re : Iptables - Accès à apache lent après activation

#7 Le 07/06/2022, à 15:55

Re : Iptables - Accès à apache lent après activation

#8 Le 07/06/2022, à 19:43

Re : Iptables - Accès à apache lent après activation

#9 Le 07/06/2022, à 20:01

Re : Iptables - Accès à apache lent après activation

#10 Le 07/06/2022, à 20:30

Re : Iptables - Accès à apache lent après activation

#11 Le 08/06/2022, à 04:53

Re : Iptables - Accès à apache lent après activation

#12 Le 08/06/2022, à 10:54

Re : Iptables - Accès à apache lent après activation

Pied de page des forums